Compliance

Polityka anonimizacji danych przed ich wykorzystaniem w modelu sztucznej inteligencji

Polityka określająca zasady anonimizacji i pseudonimizacji danych osobowych przed przekazaniem ich do systemów AI, zgodna z RODO i AI Act.

DOCX aktualizacja: 17 maja 2026 Wymaga konta
Dla kogo Compliance officer, zarząd, działy prawne
Zakres Compliance

INSTRUKCJA WYPEŁNIENIA

Do czego służy: To wewnętrzny dokument firmy (organizacji), który ustala zasady anonimizacji danych przed ich użyciem do tworzenia, trenowania i testowania modeli sztucznej inteligencji. Celem jest zgodność z RODO i AI Act oraz ograniczenie ryzyka, że ktoś rozpozna konkretne osoby w danych użytych do AI.

Kiedy się go używa: Zawsze, gdy organizacja przygotowuje dane (zwłaszcza dane osobowe) do projektu AI - od planowania zbioru danych aż po zniszczenie lub archiwizację danych źródłowych. Politykę zatwierdza zarząd; obowiązuje od dnia wejścia w życie i jest aktualizowana co najmniej raz na 12 miesięcy.

Podstawa prawna:

  • Rozporządzenie (UE) 2016/679 (RODO) - art. 4 pkt 1 (dane osobowe), art. 5 (zasady przetwarzania), art. 6 (podstawy prawne), art. 25 (ochrona danych w fazie projektowania), art. 32 (bezpieczeństwo) oraz motyw 26 (dane anonimowe).
  • Rozporządzenie (UE) 2024/1689 (AI Act) - w szczególności art. 10 (zarządzanie danymi i ich jakość) oraz art. 13 (przejrzystość).
  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781 ze zm.).
  • ISO/IEC 20889:2018 (norma referencyjna - techniki deidentyfikacji danych).

Jak wypełnić - krok po kroku:

  1. Nazwa organizacji - w całym dokumencie zastąp słowo “Organizacja” pełną nazwą firmy zgodnie z KRS/CEIDG (lub zostaw “Organizacja”, jeśli wzór ma być uniwersalny - decyzja należy do wdrażającego).
  2. Role i osoby odpowiedzialne (sekcja IV) - przypisz wymienione role (Właściciel Danych, DPO/inspektor ochrony danych, Zespół AI, Specjalista ds. anonimizacji, Administrator Systemów, Zespół Audytu AI) do konkretnych stanowisk lub osób w organizacji. Jeśli organizacja nie ma DPO, wskaż osobę pełniącą równoważną funkcję.
  3. Data wejścia w życie (sekcja VII pkt 1) - wpisz datę zatwierdzenia Polityki przez zarząd w formacie DD-MM-RRRR.
  4. Adres kontaktowy DPO (sekcja VII pkt 3) - wpisz rzeczywisty adres e-mail inspektora ochrony danych w organizacji (zamiast przykładowego dpo@organizacja.pl).
  5. Okresy przechowywania i audytu - sprawdź, czy wskazane okresy (audyt coroczny, przechowywanie raportów min. 5 lat) są zgodne z wewnętrznymi zasadami retencji organizacji; dostosuj w razie potrzeby.

Na co uważać / typowe błędy:

  • Anonimizacja musi być nieodwracalna - jeśli dane da się ponownie powiązać z osobą (re-identyfikacja), to nadal są danymi osobowymi i podlegają RODO. Pseudonimizacja to nie to samo co anonimizacja.
  • Politykę musi formalnie zatwierdzić zarząd; bez zatwierdzenia i daty wejścia w życie dokument nie obowiązuje.
  • Skuteczność technik anonimizacji należy okresowo testować (testy re-identyfikacji) i dokumentować - sam dobór techniki nie wystarczy.
  • Upewnij się, że role są przypisane realnie istniejącym osobom; “wirtualne” przypisanie ról utrudnia rozliczalność.
  • Dokument odwołuje się do odrębnych procedur (np. bezpieczeństwa IT, retencji) - zadbaj o ich spójność.

WZÓR

POLITYKA ANONIMIZACJI DANYCH PRZED ICH WYKORZYSTANIEM W MODELU SZTUCZNEJ INTELIGENCJI

Wprowadzenie

Celem niniejszej Polityki jest ustanowienie spójnych i przejrzystych zasad anonimizacji danych, które mają zostać wykorzystane w procesach tworzenia, trenowania i walidacji modeli sztucznej inteligencji (AI) w Organizacji. Dokument zapewnia zgodność z obowiązującymi przepisami prawa, w szczególności z RODO oraz AI Act, minimalizując ryzyka prawne, technologiczne i reputacyjne.

I. Postanowienia ogólne

  1. Zakres podmiotowy - Polityka obowiązuje wszystkich pracowników, współpracowników, podwykonawców oraz partnerów biznesowych Organizacji, którzy przetwarzają dane przeznaczone do wykorzystania w rozwiązaniach AI.
  2. Zakres przedmiotowy - Dokument dotyczy wszystkich zbiorów danych (strukturalnych i niestrukturalnych), w tym danych osobowych i danych szczególnych kategorii, które są przygotowywane do trenowania, testowania lub wdrożenia modeli AI.
  3. Definicje kluczowe:
    • Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO.
    • Dane zanonimizowane - dane przekształcone w sposób uniemożliwiający identyfikację osoby fizycznej przy użyciu wszelkich rozsądnie dostępnych środków, zgodnie z motywem 26 RODO.
    • Proces anonimizacji - zaplanowany i udokumentowany cykl czynności technicznych i organizacyjnych mających na celu trwałe usunięcie elementów umożliwiających identyfikację.
    • Re-identyfikacja - próba ponownego powiązania danych z konkretną osobą fizyczną.
    • Model AI - zestaw powiązanych algorytmów zdolnych do generowania wyników na podstawie danych treningowych.

II. Cele i zasady anonimizacji

  1. Cele:
    1. Zapewnienie zgodności z RODO i AI Act.
    2. Ochrona prywatności osób, których dane mogą występować w zbiorach wykorzystywanych do trenowania modeli AI.
    3. Minimalizacja ryzyka re-identyfikacji i nadużyć.
  2. Zasady:
    • Minimalizacja danych - przetwarzane dane ogranicza się do informacji niezbędnych do osiągnięcia celu projektu AI.
    • Nieodwracalność - poziom zastosowanych technik anonimizacji uniemożliwia odtworzenie danych osobowych.
    • Dokumentacja i audyt - każdy proces anonimizacji jest udokumentowany, a skuteczność technik podlega okresowej weryfikacji.
    • Proporcjonalność - dobór metod anonimizacji jest uzasadniony charakterem danych i ryzykiem dla praw i wolności osób fizycznych.
    • Bezpieczeństwo - proces anonimizacji realizuje się w środowisku kontrolowanym, z zastosowaniem środków technicznych i organizacyjnych chroniących dane źródłowe.

III. Procedura anonimizacji

Etap Czynność Odpowiedzialność Rezultat
1. Planowanie Identyfikacja zbioru i kategorii danych; ocena ryzyka re-identyfikacji Właściciel Danych, DPO Plan anonimizacji
2. Przygotowanie Zabezpieczenie źródeł danych, utworzenie kopii roboczej, klasyfikacja atrybutów Zespół AI, Administrator Systemów Kopia robocza zbioru
3. Transformacja Zastosowanie technik (maskowanie, generalizacja, agregacja, permutacja, perturbacja, k-anonimowość, prywatność różnicowa) Specjalista ds. Anonimizacji Zbiór zanonimizowany
4. Walidacja Testy prób re-identyfikacji, metryki (disclosure risk, information loss) Zespół Audytu AI Raport walidacyjny
5. Dokumentacja Zapis parametrów, logów, zastosowanych algorytmów Specjalista ds. Anonimizacji Repozytorium dokumentacji
6. Zniszczenie lub archiwizacja Bezpieczne usunięcie danych źródłowych albo archiwizacja w magazynie o podwyższonym poziomie ochrony Administrator Systemów Protokół zniszczenia/archiwizacji

IV. Obowiązki personelu

  1. Właściciel Danych: akceptuje plan anonimizacji i poziom ryzyka resztkowego; zatwierdza raport walidacyjny.
  2. Inspektor ochrony danych (DPO): nadzoruje zgodność procesów anonimizacji z RODO i AI Act; inicjuje audyty wewnętrzne i przekazuje zalecenia.
  3. Zespół AI: wdraża proces anonimizacji w praktyce projektowej; zapewnia, że modele AI są trenowane wyłącznie na danych zanonimizowanych.
  4. Specjalista ds. Anonimizacji: wybiera i konfiguruje techniki anonimizacyjne; prowadzi dokumentację techniczną.
  5. Administrator Systemów: zapewnia bezpieczne środowisko (kontrola dostępu, szyfrowanie, rejestrowanie zdarzeń); nadzoruje niszczenie lub archiwizację danych źródłowych.
  6. Zespół Audytu AI: testuje odporność na re-identyfikację; raportuje niezgodności do DPO i Zarządu.

V. Nadzór i audyt

  1. Procesy anonimizacji podlegają corocznemu audytowi lub audytowi doraźnemu (ad hoc) po wykryciu incydentu.
  2. Wyniki audytu są przekazywane Zarządowi wraz z rekomendacjami działań korygujących.
  3. Metryki kontroli obejmują:
    • wskaźnik ryzyka ujawnienia (disclosure risk score) - prawdopodobieństwo re-identyfikacji,
    • wskaźnik utraty informacji (information loss index) - poziom degradacji jakości danych.
  4. Raporty audytowe są przechowywane przez minimum 5 lat w repozytorium zgodności.

VI. Odpowiedzialność i sankcje

  1. Naruszenie niniejszej Polityki skutkuje odpowiedzialnością dyscyplinarną, cywilną lub karną zgodnie z przepisami prawa i regulacjami wewnętrznymi.
  2. W przypadku istotnego naruszenia Organizacja może rozwiązać umowę o pracę lub umowę o współpracy ze skutkiem natychmiastowym, na zasadach przewidzianych przepisami prawa.
  3. Organizacja zastrzega prawo do zgłoszenia naruszenia właściwym organom nadzorczym (m.in. Prezes UODO).

VII. Postanowienia końcowe

  1. Polityka wchodzi w życie z dniem [ ……… ] (wpisz: data zatwierdzenia przez Zarząd, format DD-MM-RRRR) po zatwierdzeniu przez Zarząd.
  2. Aktualizacja dokumentu następuje co najmniej raz na 12 miesięcy lub wcześniej, jeżeli zmianie ulegną przepisy prawa lub standardy branżowe.
  3. Wszelkie pytania dotyczące stosowania Polityki należy kierować do inspektora ochrony danych na adres: [ ……………….. ] (wpisz: rzeczywisty adres e-mail inspektora ochrony danych).

Podstawa prawna

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO), w szczególności art. 5 ust. 1 lit. a-f, art. 6, art. 25, art. 32 oraz motyw 26.
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (AI Act), w szczególności art. 10 i art. 13.
  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781 ze zm.).
  • ISO/IEC 20889:2018 “Privacy enhancing data de-identification techniques” (norma referencyjna).

Organizacja zastrzega prawo do wprowadzania zmian w Polityce w zakresie niezbędnym do zachowania zgodności z nowymi przepisami prawa lub standardami branżowymi.

🔒
Czytaj dalej po zalogowaniu

Pełny dostęp do dokumentu jest bezpłatny dla zarejestrowanych użytkowników BizNews Academy.

Zaloguj się lub załóż konto

Rejestracja jest bezpłatna i zajmuje 30 sekund.

Bezpłatny dla konta BizNews
Zaloguj się, aby pobrać Zapytaj o szczegóły

Dokumenty premium są bezpłatne dla zalogowanych użytkowników.

BizNews Academy · Biblioteka premium · biznewsacademy.pl
Fedaris sp. z o.o. · ul. Długa 29, 00-238 Warszawa